入侵检测技术讲解图示.ppt

第5讲入侵检测技术
内容提要:
入侵检测概述
入侵检测的技术实现
分布式入侵检测
入侵检测系统的标准
入侵检测系统示例
本章小结
入侵检测概述
定义
入侵检测系统利用优化匹配模式和统计学技术把传统的电子数
据处理(EDP)和安全审计技术结合起来,实现动态网络安全防护,
是构成完整的现代网络安全系统的必要部分。
入侵检测系统是防火墙的合理补充,通过主动防御来帮助系统
对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审
计、监视、进攻识别和响应),提高了信息安全基础结构的完整
性。它从计算机网络系统中的若干关键点收集并分析信息,查看
网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测
系统在不影响网络性能的情况下能对网络进行监测,提供对内部
攻击、外部攻击和误操作的实时保护。
返回本章首页
发展
一个阶段是安全审计
审计定义为对系统中发生事件的记录和分析处理过程。与系统日
志相比,审计更关注安全问题。根据美国国防部(DOD)“可信计算机系
统评估标准”(TCSEC)橘皮书规定,审计机制(auditmechanism)应作为
C2或C2以上安全级别的计算机系统必须具备的安全机制。其功能:
记录系统被访问的过程以及系统保护机制的运行;
发现试图绕过保护机制的行为;
及时发现用户身份的变化;
报告并阻碍绕过保护机制的行为并记录相关过程,为灾难恢复提供
信息。
1980年4月,James Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。
Anderson还建议对用户行为进行统计分析,可以确定系统使用的不寻常模
式,可能会找出隐藏着的黑客。这个已被验证了的建议是另一个入侵检测的
里程碑,即IDES(入侵检测专家系统)方案。
入侵检测概述
发展
第二个阶段是入侵检测系统的诞生
1980年,Anderson在“计算机安全威胁的监察”报告中提出,必须
改变现有的系统审计机制,为专职系统安全人员提供安全信息,被认
为是有关IDS的最早论述。其中,他首先提出了入侵检测的概念,将
入侵尝试(Intrusion attempt)或威胁(Threat)定义为:潜在的、有预谋
的且未经授权而访问信息、操作信息、致使系统不可靠或无法使用的
企图。Aderson提出审计追踪可应用于监视入侵威胁,但这一设想的
重要性当时并未被理解。
1987年,Dorothy E Denning提出入侵检测系统的抽象模型,首次
将入侵检测的概念作为一种计算机系统安全防御问题的措施提出。与
传统加密和访问控制的常用方法相比,入侵检测技术属于全新的计算
机网络安全措施。
入侵检测概述
返回本章首页
(1)主体(subjects);在目标系统上活动的实体,如用户。
(2)对象(objects):指系统资源,如文件、设备、命令等。
(3)审计记录(Audit records):内主体、活动(Action)、异常条件(Exception—Condition)、资源使用状况(Resource—Usage)和时间戳(Time Stamp)等组成。其中活动是指主体对目标的操作。异常条件是指系统对主体该活动的异常情况的报告。资源使用状况是指系统的资源消耗情况。
(4)活动档案(Active Profile):即系统正常行为模型,保存系统正常活动的有关信息。在各种检测方法中其实现各不相同。在统计方法巾可以从事件数量、频度、资源消耗等方面度量。
(5)异常记录(Anomaly Record):由事件、时间戳和审计记录组成,表示异常事件的发生情况。
(6)活动规则(Active Rule):判断是否为入侵的推则及相应要采取的行动。一般采用系统正常活动模型为准则,根据专家系统或统计方法对审计记录进行分析处理,在发现入侵时采取相应的对策。
入侵检测概述
返回本章首页
1988年,SRI/CSL的Teresa Lunt等改进了Denning的入侵检测模型,并实际开发出了一个IDES。
1988年Teresa Lunt等人进一步改进了Denning提出的入侵检测模型,并实际开发了IDES(Intrusion Detection Expert System),该系统用于检测单一主机的入侵尝试,提出了与系统平台无关的实时检测思想。该系统包括一个异常检测器和一个专家系统,分别用于统计异常模型的建立和基于规则的特征分析检